Häufig stützen sich Verleger bei der Speicherung und Verarbeitung von Nutzerdaten (u.A. mit Cookies) auf das „berechtigte Interesse“ als rechtliche Grundlage, die es nicht nötig macht, die explizite Einwilligung der Nutzer einzuholen. Dieses Jahr sah es so aus, als ob dies bald Geschichte sein könnte, wie ein Entwurf der ePrivacy-Richtlinie durch die Deutsche EU-Ratspräsidentschaft zeigte. Es scheint jedoch, als ob die Mitgliedsstaaten sich nicht auf eine gemeinsame Linie einigen konnten, und nächstes Jahr übernimmt Portugal das Zepter.
Zusammenfassung:
- Was ist der aktuelle Stand, den Publisher bei der Cookie-Nutzung beachten müssen?
- Was sah der deutsche Entwurf für die neue ePrivacy-Regulierung vor?
- Was jetzt, wo Portugal im nächsten Jahr die EU-Ratspräsidentschaft übernimmt?
- Hin oder her... Einwilligung ist laut Didomi immer die beste Lösung
Vor einigen Wochen hatten wir, bei Didomi, die Chance in unserem Webinar „Einwilligung oder berechtigtes Interesse? Die richtigen Privacy-Optionen für Ihre Nutzer und Ihr“ über dieses Thema zu diskutieren. Um die Diskussion direkt anzusehen, finden Sie hier die Aufzeichnung des Webinars:
Was ist der aktuelle Stand, den Publisher bei der Cookie-Nutzung beachten müssen?
Manche der folgenden Punkte kennen Sie möglicherweise bereits, aber es lohnt sich, diese gelegentlich ins Visier zu nehmen.
Wenn Sie als Webseiten- oder Appbetreiber Cookies oder ähnliche Tracker einsetzen, müssen Sie Ihre Nutzer zu Beginn der Datenverarbeitung darauf hinweisen. Zu dieser Thematik hatten wir auch eine aufschlussreiche Diskussion in einem vergangenen Webinar.
Jedoch ist eine Einwilligung nicht immer zwingend notwendig, dann greifen viele auf das „berechtige Interesse“ zurück.
Auf welcher rechtlichen Grundlage basiert das sogenannte „berechtigte Interesse“ überhaupt?
Die angewendete Datenschutz-Grundverordnung (DSGVO) enthält keine klare Definition zum „berechtigten Interesse“. Es spiegelt das Motiv und den Nutzen wider, den der Verantwortliche aus der Verarbeitung ziehen möchte.
In der Praxis geht es dabei konkret um Ziele wie Direktwerbung zu betreiben um (ganz legitim) Geld verdienen zu können, Betrug zu verhindern, die Netzwerk- und Informationssicherheit eines IT-Systems zu gewährleisten und ähnliche Aspekte.
Um sich auf das „berechtigte Interesse“ als rechtliche Grundlage zu stützen, muss man folgende Bedingungen beachten :
- Die genutzten Cookies oder Tools müssen sich zur Verarbeitung eignen, sodass das Interesse des Verantwortlichen erfüllt werden kann.
- Man muss abwägen, ob es ein gleich effektives, milderes Mittel gibt, das man alternativ nutzen kann.
- Außerdem müssen Publisher die Verarbeitung auf das notwendige Maß beschränken und den bestmöglichen Datenschutz gewährleisten.
- Bei einer Überprüfung wird jedes Cookie auf seine Notwendigkeit und Zweckmäßigkeit beurteilt.
Aber warum sahen Datenschutzbehörden einen Anlass zur verschärften Auseinandersetzung mit dem Thema Cookie-Einwilligungen?
Der Fall einer kleinen deutschen Lotterieseite namens Planet49 hat dazu beigetragen, dass sich Datenschutzexperten noch intensiver mit Einwilligungserklärungen beschäftigen. Auf der Webseite wurden vorab angekreuzte Kästchen für den Cookie-Hinweis verwendet. Das warf unterschiedlichste Fragen zum Thema Datenschutz auf.
Im darauf folgenden Rechtsurteil wurde die auf der Webseite genutzte Form der Einwilligungssammlung ausdrücklich verboten.
Der @BGH_Bund hat das "Planet-49-Urteil" veröffentlicht.
Diensteanbieter dürfen #Cookies zur Erstellung von Nutzungsprofilen für Zwecke der #Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen. #Datenschutz #Urteil #BGHhttps://t.co/lI7Hn2Jpug
— rewis.io (@rewis_io) July 4, 2020
Es werden vermehrt Überprüfungen durchgeführt und das zeigt sich auch in anderen Ländern. Das Rechtsurteil zur Einwilligungseinholung mit vorangekreuzten Kästchen wurde auch vor kurzem bei einem Fall in Rumänien verkündet.
#ECJ : A consumer's consent to collection and retention of I.D. in a telecommunications services contract cannot be presumed to have been validly given when the relevant box has been ticked by the data controller prior to the signing of the contract. #Romania @orange pic.twitter.com/jlPJA1x04i
— EU Court of Justice (@EUCourtPress) November 11, 2020
Was, wenn Sie sich nicht auf „berechtigtem Interesse“ stützen können? – die aktuelle Rechtsgrundlage
Der Fall Planet49 hat unter anderem dazu beigetragen, dass die Datenschutz-Thematik wieder vermehrt ins Rampenlicht gerückt wurde. Das macht es umso wichtiger, Nutzerdaten rechtskonform zu verarbeiten.
Wenn Sie Drittanbietertools wie Google, Facebook, Criteo usw. verwenden, können Sie nicht auf das „berechtigte Interesse“ als Rechtfertigungsgrund zurückgreifen. Werden Daten an Dritte weitergegeben oder Drittanbieter-Cookies auf Ihrer Seite verwendet, müssen Sie ausdrücklich vorab eine Nutzerzustimmung einholen. Diese Cookies dürfen vor der Einwilligung nicht aktiviert sein.
Wenn Sie eine Nutzereinwilligung benötigten, nimmt das rechtlich gesehen im Artikel 7 in der DSGVO ihren Platz ein.
{{discover-didomi-for-compliance}}
Auf folgende Bedingungen sollten Sie bei Ihren Einwilligungsmechanismen laut DSGVO achten
Um Einwilligungen gesetzeskonform zu sammeln, müssen Seitenbesucher ausdrücklich, aktiv und freiwillig mit einem Opt-in zustimmen. Als Publisher sollten Sie Nutzer umfassend informieren. Weisen Sie sie auf alle gesammelten Daten, Vorgänge und alle involvierten Drittparteien, die auf Daten zugreifen können, hin.
Stellen Sie darüber hinaus sicher, transparente und verständliche Informationen zur Einwilligung anzubieten und die Widerrufsmöglichkeit einfach zu gestalten.
Warum besteht in Deutschland die Situation, dass Cookie-Einwilligungen auch in der DSGVO festgelegt werden? Die ePrivacy-Richtlinien wurden in Deutschland nicht gut umgesetzt. Auf diesem Grund wird die DSGVO auch auf Cookies und Tracking-Tools angewendet. Das gilt sowohl für personen- als auch nicht personenbezogene Daten.
Das im November "geleakte" Dokument zur ePrivacy-Verordnung hätte jedoch starke Änderungen für das auf "berechtigtem Interesse" basierenden digitalen Marketing mit sich bringen können.
Was sah der deutsche Entwurf für die neue ePrivacy-Regulierung vor?
Der Entwurf der ePrivacy-Verordnung enthielt keinen Paragraphen zum „berechtigten Interesse“ als Basis für die Platzierung von Cookies mehr. Das bedeutete, dass sich Webseiten-und Appbetreiber nicht mehr auf diese Grundlage hätten stützen können, da in diesem Entwurf das „berechtige Interesse“ in seiner vorherigen Form nicht mehr vorhanden war.
Deutschland wollte mit seinem Vorschlag verhindern, dass Betreiber von Apps, Webseiten und anderer Dienste weiterhin persönliche Daten aus pauschalem "berechtigtem Interesse" erheben, speichern und auswerten dürfen.
In den ePrivacy-Richtlinien wurde jedoch vorgesehen, dass Metadaten zu bestimmten statistischen oder Forschungszwecken verarbeiten werden konnten, wenn diese anonymisiert wurden. Das galt auch für Standortdaten, die unter bestimmten Bedingungen gesammelt werden durften, sofern diese Daten anonymisiert und nicht zur Profilbildung eingesetzt werden konnten.
Der Artikel 6b ging dabei als Hauptnorm für die Nutzung von Cookies und Tracking-Tools hervor, und sah die Einwilligung schlussendlich als sicherste Rechtsgrundlage.
Aus verschiedenen Kreisen war aber zu vernehmen, dass das deutsche Papier als zu restriktiv und wirtschaftsfeindlich aufgefasst worden sei. Diese "Opposition" wurde früh bekannt:
Wie est Stefan Krempl von Heise Online erklärt, ist es der deutschen EU-Präsidentschaft dieses Jahres bei der ePrivacy-Verordnung nicht gelungen, die Mitgliedsstaaten auf eine gemeinsame Position hinzubewegen.
Damit sei es jetzt an den Portugiesen, sich um eine gemeinsame Linie für den Datenschutz in der elektronischen Kommunikation zu bemühen, denn die deutsche Ratspräsidentschaft endet zum Jahreswechsel.
Was jetzt, wo Portugal im nächsten Jahr die EU-Ratspräsidentschaft übernimmt?
Portugal werde nun voraussichtlich wieder auf den finnischen Kompromissvorschlag vom Jahre 2019 zurückgreifen, der relativ offen und wirtschaftsfreundlich ausgelegt war, und keine großen Hürden für Datensammler vorsah.
Auch wenn unter Daten "sehr sensible" persönliche Informationen offenbart werden konnten (womit es möglich sei, Rückschlüsse auf soziale Beziehungen, Gewohnheiten, Interessen oder Geschmäcker zu ziehen), wollten die Finnen es damals erlauben, manche Metadaten ohne Zustimmung der Nutzer für verschiedene Zwecke zu verwenden.
Werbefinanzierten Webseiten wollten die Finnen ermöglichen, das webseiten- und geräteübergreifende Tracking von Nutzern ohne Einwilligung und ohne weitere Schutzvorkehrungen zu erlauben. Der Nutzer müsste dabei nur klar und präzise darüber informiert werden, zu welchen Zwecken Cookies oder ähnliche Tracker verwendet werden, und deren Einsatz "akzeptieren", was ausreichen sollte, um weiter auf einer Webseite aktiv zu bleiben.
Damals schlugen Verbraucher- und Datenschütezer aber Alarm, dass die Regierungen mit der Initiative den eigentlich vorgesehenen Datenschutz in der elektronischen Kommunikation untergraben und "mehrere rote Linien" überschreiten könnten. Es ist höchstwahrscheinlich, dass dies auch nächstes Jahr wieder der Fall sein wird.
Hin oder her... Einwilligung ist laut Didomi immer die beste Lösung
Ob die portugiesische Prsidentschaft ePrivacy fertigbringen wird, und wie datenschützend die kommende Version sein wird, steht jetzt (immer noch) offen. Wir denken, dass Consent Management-Plattformen (CMPs) immer von Vorteil sin wird. Diese können in der Tat als Hauptgrundlage für Publisher (Werbende) genutzt und an die sich ändernden Bedingungen rechtskonform angepasst werden.
{{discover-our-cmp}}
Mit der Nutzung einer CMP können außerdem viele Service-Provider (Vendors) aufgenommen werden. Gleichzeitig kann man dem User ermöglichen, Einwilligungen für verschiedene Gruppen einzustellen. Das reduziert die Unmengen an Einwilligungserklärungen und steigert die Nutzerfreundlichkeit.
Zu dieser Thematik können Sie sich auch einen Eindruck über die vielen Möglichkeiten zur visuellen Gestaltung der Cookie-Einwilligungserklärungen verschaffen. Dazu haben wir vor einigen Wochen einen Blogeintrag veröffentlicht:
In der Zukunft wird sich zeigen, welche Änderungen bezüglich Cookies und Einwilligungen bevorstehen. Bis dahin stehen wir Ihnen gerne tatkräftig zu Seite, um Ihnen zu zeigen, welche Vorteile die Nutzung einer CMP hat.
Vereinbaren Sie dazu gerne einen Termin für eine kostenlose Demo mit unserem Team.
{{request-a-demo}}